正しくソフトウェアライセンスを管理して、コンプライアンス違反を防ごう
コンプライアンス違反の発生は企業に多大な不利益を与えます。ソフトウェアライセンス管理においても、ライセンス形態の複雑化にともない、コンプライアンス違反のリスクが高まりつつあります。コンプライアンス違反を起こさないためのライセンス管理について考察します。
特集記事
- 2017年03月09日公開
スマートフォンやタブレットなどに代表されるデバイスの進化・多様化、業務スタイルの変化などに伴い、ソフトウェアを端末上に「所有」する時代から、クラウドにアクセスして使用する時代へと移行しつつあります。
そのような時代の変化に合わせて、ソフトウェアライセンスの契約形態も大きく変化しています。複雑化するソフトウェアライセンスは、適切な管理なしでは、悪意の有り無しにかかわらずコンプライアンス違反を犯すリスクがあります。事実、多額の損害賠償金をソフトウェアベンダーに支払った事例は数多くみられます。コンプライアンス違反を犯してしまった企業の信頼は簡単に失墜してしまう危険性がありますので、より注意が必要です。一方、コンプライアンスの遵守を重要視するあまり、余剰なライセンスを購入してしまうというケースもあります。
これからの適正なソフトウェアライセンス管理の在り方について考えてみましょう。
複雑化するソフトウェアライセンス
今、クラウドアプリケーションの利用や、1人のユーザが複数のデバイスで同じソフトウェアを利用することなどの状況が当たり前になっています。こうした変化に対応するために、ソフトウェアライセンスも、デバイスごとの使用許諾に加え、ユーザ1人に対して複数デバイスでのソフトウェアの利用を認めるライセンス形態が登場しました。
また、売り切りで購入型のソフトウェアライセンスの場合、ベンダーは旧バージョンのサポートを続けなければなりません。そうしたベンダー側の事情もあり、ソフトウェアを買い取るのではなく、最新バージョンのソフトを借りて、利用した期間に応じて料金を支払うサブスクリプション方式のソフトウェアライセンスも登場しました。
このように、市場の状況やベンダー側の事情に対応してソフトウェアライセンスはさまざまに変化しています。
ライセンス契約は、以下のリストに挙げた要素の組み合わせで構成されます。
- 費用...有償/無償
- 1ライセンスが必要とされる対象の単位...ユーザ/デバイス(端末/CPU)
- 所有形態...購入型/サブスクリプション型
- 利用形態...ユーザまたはデバイス単体利用/複数同時利用
- 購入単位...1ライセンスで販売/ボリューム(複数ライセンス)で販売
以上のライセンスは各種社内に存在し、複雑に絡み合っています。従来は、どのデバイスにどのソフトウェアが入っている、という管理だけでよかったものの、現在ではさらに複雑化し、どのユーザやデバイスが、どういったライセンス形態で契約を結んでいるのかを正確に記録する必要があります。
また、社内のユーザやデバイスは部署異動や、デバイスの導入や廃棄のため常に変化しています。そのため、導入時に記録するのみでは正確な情報を管理しているとはいえません。定期的な契約形態と利用状況の照らし合わせが必要なのです。
不適切なソフトウェアライセンス管理が引き起こしたコンプライアンス違反の事例
ソフトウェアライセンスの契約形態が多様になった結果、当然管理も複雑になりました。しかし、不適切なソフトウェアライセンス管理は、コンプライアンス違反を招き、企業に多大な不利益を与えてしまいます。
ここでは、北海道庁で発生したコンピュータ・ソフトウェアの違法コピー事件を事例として紹介します。2012年6月22日に公表された住民監査請求監査結果(北海道公報 第2389号)(PDF)を基に確認していきましょう。
事件の経緯
2007年2月に北海道庁は、日本マイクロソフト株式会社(以下マイクロソフト)から庁内のソフトウェアの管理体制を改善するために、ライセンスの利用状況の調査を共同で行う旨、検討の依頼を受け取ります。
翌年、2008年7月より約4ヶ月かけて約1万7,000台のPCを予備調査した結果、ライセンス証書の紛失や二重インストールの問題が発覚しました。
続く2009年5月、今度は「B社」より、ソフトウェア違法コピーの実態調査と結果の報告依頼の文書が送付されます。翌月には、代理人弁護士との面談を実施、訴訟の可能性も示唆されました。
そこで2010年6月から翌年1月まで約8ヶ月を費やし、マイクロソフトやB社のソフトウェアを含むすべてのソフトウェアについて全庁調査が実施されます。
5万3,000台に及ぶPCの調査の結果、インストールソフトウェア数17万7,268本のうち、違法コピーのソフトウェアは2万1,470件、124社分もの存在が確認されました。
その後の顛末
マイクロソフトとは、2009年7月に「ソフトウェア資産管理及びソフトウェアライセンス取得に関する覚書」を取り交わし、違法コピーと認められた5,003件のライセンスの購入を行うことで合意しました。
B社からは損害賠償請求の訴訟となる可能性もありましたが、違法コピーと確認された650件を定価で購入するのと同等額の1億8,689万5,800円を損害賠償金として支払うことで和解が成立しました。もちろん、違法コピーされたソフトウェアは消去することになりました。
そのほかの企業とも、2011年3月までに業務上不要なものは消去、必要なものはライセンスの購入をもって和解したとのことです。
違法コピー事件発生の5つの原因
北海道庁の監査によると、発生原因は次のとおりです。
- 1. 著作権保護のためのソフトウェアライセンス管理に対する規程の欠如
ソフトウェアを管理するための規則や服務規程が整備されていませんでした。 - 2. 全職員のソフトウェアライセンス管理に対する理解不足
一般職員がソフトウェアライセンスに対し正しい知識を持っていませんでした。さらに、情報セキュリティ管理者ですら、自身の職責を理解していませんでした。 - 3. 保有ソフトウェアのライセンスを管理する台帳の不備
北海道庁は台帳を作成していませんでした。 - 4. 複数のライセンス形態に起因するライセンスに対する認識の錯誤
例えば、プリインストール版は搭載PC以外では利用できないにも関わらず、当該PCを廃棄すれば別のPCで利用可能である、というようなライセンスに対する認識の錯誤や、北海道庁内で利用のソフトウェアのインストールは法令違反にならないといった誤解がありました。 - 5. ソフトウェアライセンス管理の仕組みの欠如
一般職員のログオンユーザ権限でソフトウェアをインストール可能でした。また、余剰ライセンスを確認してから、インストールをするという手続きの取り決めが欠如していました。
この事件が組織に与えた悪影響
コンプライアンス違反が組織や社会に与える影響は深刻です。
まず、サービスの受益者である住民を大きく落胆させてしまいました。また、組織内では副知事の訓戒を筆頭に677名の職員が厳重注意や所属長注意の処分となりました。さらに金銭面では、ソフトウェアの違法コピーの損害賠償額は、「正規品の標準小売価格相当」なので、初期段階よりボリュームメリットのある契約を締結した場合と比べれば組織に不利益を与えています。
今すぐ始める!適切なソフトウェアライセンス管理に必要なこと
では、適切なソフトウェアライセンス管理をし、コンプライアンス違反を防ぐために直ちに実行できることはどんなことでしょうか?
北海道庁の事例から見えてきた、今できることは次のとおりです。
- 著作権保護を目的としたソフトウェアライセンス管理規程を作成すること。
- 全社員に対するライセンスやライセンス管理についてトレーニングや、情報セキュリティ管理者へ、職責の理解を促すトレーニングを実施すること。
- 一般社員のログオンユーザアカウントから、ソフトウェアインストール権限を削除すること。これにより承認されていないソフトウェアの組織内での利用が防止できます。
- 調達から廃棄までの履歴を含むソフトウェア管理台帳を作成すること。
- ソフトウェアの利用開始時に未使用のライセンス数を確認する仕組みを構築すること。
ただ、これらをしっかりしたとしても、ソフトウェア管理台帳を表計算ソフトで管理したり、部署ごとにライセンスを管理したりすると、次のようなリスクが残ります。
ソフトウェア管理台帳を表計算ソフトウェアで管理する場合のリスク
表計算ソフトウェアでライセンスを管理する場合のリスクは次のとおりです。
- 誤操作によるファイル紛失の可能性
- 記入漏れや誤入力などの人的ミスが起こる可能性。特に、企業規模が大きくなればなるほど、データが膨大になるため、人手で管理することは困難を極めます。
- 日々の更新が煩雑であること。デバイスの導入と従業員の入退社日や異動日は同時には発生しないため、台帳は日々変更が発生します。更新頻度が多ければ多いほど、人的ミスが発生する可能性も高まります。
- 更新履歴のない状態で管理することによって、例えば監査の指摘が入ったときの証明として脆弱であること。
表計算ソフトウェアでの一覧表の状態で管理するだけでは、以上のようなリスクが存在するため、悪意がなくともコンプライアンス違反を犯す可能性が高くなってしまいます。これまで述べてきたように、ソフトウェアのライセンスは複雑化しているため、現状の利用方法が適切であるかどうかの判断すらできない可能性もあるのです。
部署ごとに管理している場合のリスク
部署にライセンス管理を任せてしまっている場合、ライセンス証書や返却するべき媒体を紛失してしまうリスクがあります。また、社内全体を俯瞰したライセンス数の集約ができないため、ボリュームライセンスに移行すれば軽減できるはずのコストが発生している可能性があります。さらに、十分な知識がないまま、ソフトウェアの利用を進めてしまうケースも考えられます。そのような場合には、悪意なくコンプライアンス違反を犯してしまう可能性が出てきてしまいます。
IT資産管理ソリューションを有効活用しよう
ソフトウェアライセンスが複雑化している今、求められているのはライセンスを適切に管理するためにシステムを上手に活用することです。そこで期待されるのが、IT資産管理ソリューションです。例えばNTTテクノクロスの「ソフトウェア資産管理ソリューション iTAssetEye」のようなIT資産管理ソリューションを導入すれば、北海道庁が約1年をかけて調査した、「正確なソフトウェアの利用状況と契約しているソフトウェアライセンスの突合」は、レポートの出力のみで終了します。ほかにも、次のような機能があります。
ライセンス管理機能
保有ソフトウェアライセンスについて、ライセンス使用許諾の内容を含め管理します。保有ライセンス情報をもとにどのデバイスまたはユーザにライセンスが割り当てられているのかを把握する仕組みです。これにより、未使用のライセンス数に基づきソフトウェアを利用開始できますので、保有ライセンス内での利用が保証されます。
また、他システム(購買、人事などのシステム)から、ライセンスの購入情報や人事異動の情報をインポートし運用にも反映できるので、より正確な情報を利用できます。
監査レポートの出力
監査や利用状況を証明するために必要なライセンス利用状況レポートを出力する機能や、保有資産全体の管理台帳を出力する機能があります。ソフトウェア使用許諾内の利用であるかどうかを直ちに確認できます。
ユーザの利用許可申請から利用までを制御する機能
システムがユーザの所属部署や職制ごとに利用許可されているソフトウェアカタログを保持します。その情報を基に、ユーザが利用開始申請を行い、承認者による許可を経てインストールイメージを申請のあったデバイスで利用可能となるまでを制御します。
IT資産管理ソリューションの導入が、ソフトウェアライセンスに関わるコンプライアンス違反が発生するリスクを最小限に抑えるソリューションといえるでしょう。